Cet outil de Google vous dit si vos données personnelles ont été diffusées sur le dark web - Actus du 11/10/2024
Découvrez comment fonctionnent les attaques de mots de passe hybrides et protégez-vous efficacement. Utilisez l'outil Google pour vérifier si vos données sont sur le dark web. Soyez informé des avertissements de la CISA sur les cookies F5 BIG-IP exploités par des acteurs malveillants.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Comment fonctionnent les attaques de mots de passe hybrides et comment s'en défendre
Les acteurs malveillants adaptent constamment leurs tactiques pour contourner les mesures de cybersécurité, développant des méthodes innovantes pour voler des identifiants utilisateurs. Les attaques par mots de passe hybrides combinent plusieurs techniques de craquage pour accroître leur efficacité. En intégrant différentes méthodologies, les hackers exploitent les forces de chaque méthode, augmentant ainsi leurs chances de succès. Ces attaques persistantes utilisent des logiciels pour tenter toutes les combinaisons possibles jusqu'à trouver la clé de déchiffrement ou le mot de passe correct. Les attaques par force brute sont particulièrement efficaces contre les mots de passe courts ou simples, et les hackers utilisent des attaques par dictionnaire pour accélérer le processus. Connaître la structure d'un mot de passe permet aux attaquants de mieux cibler leurs efforts. Pour se défendre contre ces attaques hybrides, les organisations doivent éliminer les mots de passe faibles et instaurer des politiques de mots de passe plus robustes. Il est recommandé de créer des phrases de passe de 20 caractères ou plus, en combinant des mots aléatoires. L'utilisation d'outils pour scanner les mots de passe compromis dans l'Active Directory et l'implémentation d'une politique de mots de passe comme Specops renforcent la défense contre ces menaces.
Sources :
Cet outil de Google vous dit si vos données personnelles ont été diffusées sur le dark web
Google a récemment rendu gratuit son outil de surveillance du dark web, précédemment réservé aux abonnés Google One. Cet outil, intitulé « Rapport sur le dark web », permet aux utilisateurs de vérifier si leurs données personnelles ont été compromises et se retrouvent sur des plateformes illégales. Les utilisateurs peuvent choisir quelles informations surveiller, notamment leur adresse Gmail, nom, date de naissance, adresses e-mail supplémentaires, mot de passe et numéros de téléphone. La surveillance peut être activée ou désactivée à tout moment, et les détails des données trouvées sont masqués pour protéger la confidentialité. L'outil est accessible uniquement aux comptes Google personnels, excluant les comptes Google Workspace. Pour utiliser cet outil, il suffit de se rendre dans la section « Sécurité » du gestionnaire de compte Google et de suivre les instructions pour démarrer la surveillance. Google fournit également des conseils sur les bonnes pratiques de cybersécurité, comme changer régulièrement de mot de passe et activer la double authentification. Cet outil vise à sensibiliser les utilisateurs aux risques liés à la cybersécurité et à les aider à protéger leurs informations personnelles.
Sources :
La CISA met en garde contre les acteurs malveillants exploitant les cookies F5 BIG-IP pour la reconnaissance du réseau
La CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis met en garde contre des acteurs malveillants exploitant des cookies persistants non chiffrés du module F5 BIG-IP Local Traffic Manager (LTM) pour effectuer des reconnaissances sur des réseaux cibles. Ces cookies permettent d'identifier d'autres dispositifs non accessibles depuis Internet, augmentant ainsi le risque d'exploitation de vulnérabilités. Bien que l'agence n'ait pas révélé l'identité des acteurs impliqués ni leurs objectifs, elle recommande aux organisations de chiffrer ces cookies et d'utiliser l'outil de diagnostic BIG-IP iHealth pour détecter d'éventuels problèmes de sécurité. Parallèlement, des agences de cybersécurité britanniques et américaines ont publié un bulletin sur les tentatives d'acteurs soutenus par l'État russe, notamment le groupe APT29, connu pour cibler des secteurs stratégiques afin de collecter des renseignements. APT29 utilise des techniques sophistiquées pour rester anonyme, notamment en louant des infrastructures sous de fausses identités. Les vulnérabilités notables incluent des failles dans Zimbra et TeamCity Server. Les agences conseillent aux organisations de surveiller les dispositifs autorisés et d'appliquer une vigilance accrue sur les systèmes accédant à leurs ressources réseau.
Sources :
Une nouvelle vulnérabilité critique de GitLab pourrait permettre l'exécution arbitraire d'un pipeline CI/CD
GitLab a publié des mises à jour de sécurité pour ses éditions Community (CE) et Enterprise (EE) afin de corriger huit vulnérabilités, dont une critique (CVE-2024-9164) permettant d'exécuter des pipelines CI/CD sur des branches arbitraires, avec un score CVSS de 9,6. Cette faille affecte toutes les versions de GitLab EE à partir de 12.5 jusqu'à 17.2.9, ainsi que certaines versions 17.3 et 17.4. Parmi les sept autres problèmes, quatre sont jugés graves, deux moyens et un faible. Les vulnérabilités notables incluent CVE-2024-8970 et CVE-2024-8977, toutes deux avec un score de 8,2, permettant respectivement de déclencher un pipeline en tant qu'autre utilisateur et d'effectuer des attaques SSRF. D'autres failles, comme CVE-2024-9631 et CVE-2024-6530, causent des ralentissements lors de la visualisation de demandes de fusion et des injections HTML via des scripts intersites. Ces mises à jour s'inscrivent dans une série de vulnérabilités liées aux pipelines révélées récemment par GitLab. Bien qu'aucune exploitation active de ces failles ne soit signalée, il est conseillé aux utilisateurs de mettre à jour leurs instances pour se protéger contre d'éventuelles menaces.
Sources :
Les marchés du Dark Web Bohemia et Cannabia fermés après une opération policière conjointe
La police néerlandaise a annoncé la fermeture de Bohemia et Cannabia, considérés comme le plus grand et le plus ancien marché noir du dark web pour des biens illégaux, des drogues et des services de cybercriminalité. Cette opération a été le fruit d'une enquête conjointe avec l'Irlande, le Royaume-Uni et les États-Unis, débutée fin 2022. Le marché a cessé ses activités fin 2023 après des perturbations de service et des escroqueries, suite à des actions d'un développeur. Bohemia affichait quotidiennement 82 000 annonces et réalisait environ 67 000 transactions par mois, avec un chiffre d'affaires estimé à 12 millions d'euros en septembre 2023. La police a identifié plusieurs administrateurs et arrêté deux suspects, tout en saisissant des véhicules et des cryptomonnaies d'une valeur de 8 millions d'euros. Stan Duijf, responsable de l'unité d'opérations, a souligné que le dark web n'est pas aussi anonyme que ses utilisateurs le pensent. Parallèlement, les autorités ukrainiennes ont arrêté un homme de 28 ans pour avoir géré un VPN permettant d'accéder à l'internet russe, en violation des sanctions. Cette arrestation fait suite à la condamnation de deux individus liés à un groupe de menaces russe pour des cyberattaques.
Sources :
L'Ukraine arrête un opérateur VPN malveillant fournissant un accès à Runet
La police cybernétique ukrainienne a arrêté un homme de 28 ans qui exploitait un service de réseau privé virtuel (VPN) permettant aux utilisateurs en Ukraine d'accéder à Runet, la partie de l'internet russe. Ce VPN, mis en place après l'invasion russe, a permis aux Russes dans les territoires occupés et aux sympathisants en Ukraine de contourner les restrictions imposées par le Conseil national de sécurité et de défense d'Ukraine (NSDC), qui interdit l'accès aux sites russes. L'opérateur, un hacker autodidacte de Khmelnytskyi, fait face à des accusations pouvant entraîner jusqu'à 15 ans de prison pour violation de l'article 361 du Code pénal ukrainien. Le service VPN offrait l'accès à plus de 48 millions d'adresses IP russes et gérait un trafic quotidien dépassant 100 Go. L'homme contrôlait le service depuis un serveur autonome dans son appartement et louait également des serveurs en Allemagne, France, Pays-Bas et Russie, ce qui a conduit les autorités à craindre que des agents de renseignement russes aient eu accès aux données des utilisateurs. Lors de l'arrestation, la police a saisi du matériel informatique et analyse actuellement les données pour identifier d'autres complices.
Sources :
Les ransomwares Akira et Fog exploitent désormais une faille critique de Veeam RCE
Des gangs de ransomware exploitent désormais une vulnérabilité critique de Veeam Backup & Replication (VBR), permettant l'exécution de code à distance (RCE) sur des serveurs vulnérables. Cette faille, identifiée comme CVE-2024-40711, résulte d'une désérialisation de données non fiables, facilement exploitable par des acteurs malveillants. Veeam a divulgué cette vulnérabilité et a publié des mises à jour de sécurité le 4 septembre, tandis que watchTowr Labs a publié une analyse technique le 9 septembre, retardant la publication du code d'exploitation pour donner aux administrateurs le temps de sécuriser leurs serveurs. Les attaques de ransomware Akira et Fog ont rapidement tiré parti de cette faille, utilisant des identifiants compromis pour accéder aux systèmes. Les attaquants ont ajouté des comptes locaux aux groupes Administrateurs et Utilisateurs de Bureau à distance. Des incidents ont été signalés où Fog ransomware a été déployé sur un serveur Hyper-V non protégé, tandis qu'Akira a été tenté dans un autre cas. Ce n'est pas la première fois que Veeam est ciblé ; une vulnérabilité similaire avait été exploitée dans des attaques l'année précédente, soulignant la popularité de Veeam parmi les acteurs malveillants.
Sources :
Marriott conclut un accord avec la FTC et devra payer 52 millions de dollars pour violation de données
Marriott International et sa filiale Starwood Hotels ont accepté de verser 52 millions de dollars et de mettre en place un programme de sécurité des informations complet suite à des violations de données ayant touché plus de 344 millions de clients. Ce règlement impose à Marriott et Starwood d'implémenter un programme de sécurité rigoureux et de permettre aux clients américains de demander la suppression de leurs données personnelles. L'accord inclut également un paiement de 52 millions de dollars à 49 États pour résoudre des réclamations liées à ces violations. Marriott, qui gère plus de 7 000 établissements dans 130 pays, a été impliqué dans plusieurs incidents de sécurité, notamment une violation en 2014 chez Starwood, où des informations de cartes de paiement ont été exposées, et une autre en 2018 affectant 5,2 millions de clients. La FTC a accusé les deux entreprises de tromper les consommateurs sur leurs pratiques de sécurité, citant des contrôles de mots de passe insuffisants et un manque de surveillance adéquate. Les mesures à mettre en œuvre incluent des évaluations tierces tous les deux ans et la transparence sur la gestion des données personnelles.
Sources :
Les États-Unis et le Royaume-Uni mettent en garde contre les pirates informatiques russes APT29 ciblant les serveurs Zimbra et TeamCity
Les agences de cybersécurité des États-Unis et du Royaume-Uni ont averti que des hackers du groupe APT29, liés au Service de renseignement extérieur russe (SVR), ciblent massivement des serveurs Zimbra et TeamCity vulnérables. Dans un avis conjoint, la NSA, le FBI, le Cyber Command américain et le NCSC britannique ont exhorté les défenseurs des réseaux à corriger les serveurs exposés pour contrer ces attaques en cours. Les hackers exploitent des vulnérabilités spécifiques, notamment CVE-2022-27924 et CVE-2023-42793, pour accéder à des comptes de messagerie et mener des attaques de chaîne d'approvisionnement. APT29, également connu sous les noms Cozy Bear et Midnight Blizzard, a une longue histoire de ciblage d'organisations gouvernementales et privées aux États-Unis et en Europe. Les agences ont souligné que ce groupe a la capacité d'exploiter d'autres vulnérabilités pour obtenir un accès initial et exécuter du code à distance. Elles ont recommandé de déployer des correctifs de sécurité et de maintenir les logiciels à jour pour prévenir les violations de sécurité. Cette activité représente une menace mondiale nécessitant une révision approfondie des contrôles de sécurité.
Sources :
L’université Paris-Sorbonne victime d’une cyberattaque, un hacker a volé des données
L'université Paris 1 Panthéon-Sorbonne a confirmé le 10 octobre avoir subi une cyberattaque, entraînant l'extraction de données non confidentielles de son annuaire public. Ces informations, récupérées via un compte utilisateur usurpé, incluent les noms, prénoms, adresses électroniques, photos (avec consentement) et statuts des personnels et étudiants. Les comptes ayant activé l'option « Figurer sur la liste rouge » n'ont pas été affectés. Un cybercriminel a annoncé sur un forum qu'environ 73 000 personnes étaient concernées, publiant également des photos d'anciens étudiants et du personnel. L'université prévoit de porter plainte et de notifier la CNIL, conformément à la législation sur la protection des données. Elle souligne qu'elle est fréquemment ciblée par des cyberattaques et envisage d'implémenter des mesures de sécurité renforcées, telles que l'authentification multifacteurs. Les personnes touchées par cette fuite sont conseillées de rester vigilantes face aux tentatives de phishing et d'usurpation d'identité, en vérifiant les adresses e-mail et en évitant de cliquer sur des liens suspects. L'université continue de travailler sur des solutions pour améliorer sa cybersécurité.
Sources :
Fidelity Investments affirme que la violation de données affecte plus de 77 000 personnes
Fidelity Investments a annoncé qu'une violation de données a exposé les informations personnelles de plus de 77 000 clients suite à une intrusion sur ses systèmes en août. Cette entreprise, l'un des plus grands gestionnaires d'actifs au monde, a révélé dans un dossier auprès du procureur général du Maine qu'un attaquant inconnu avait accédé à des données entre le 17 et le 19 août en utilisant deux comptes clients récemment créés. Bien que l'accès ait été détecté le 19 août et que des mesures aient été prises pour y mettre fin, l'incident a permis à un tiers d'accéder à des informations personnelles, notamment des noms et d'autres identifiants. Fidelity a précisé que cet incident n'impliquait pas l'accès aux comptes des clients. Bien qu'aucune preuve de l'utilisation abusive des données volées n'ait été trouvée, la société offre aux personnes touchées deux ans de services gratuits de surveillance de crédit et de restauration d'identité. Fidelity a également conseillé aux clients de rester vigilants face à d'éventuelles activités frauduleuses en surveillant régulièrement leurs relevés et en signalant toute activité suspecte.
Sources :
Un ransomware clandestin revendique une attaque contre Casio et divulgue des données volées
Le groupe de ransomware Underground a revendiqué une attaque contre Casio, survenue le 5 octobre 2024, entraînant des perturbations dans les systèmes de l'entreprise japonaise. Casio a reconnu l'incident sur son site web, sans fournir de détails, et a engagé des spécialistes externes pour évaluer le vol éventuel de données personnelles ou d'informations confidentielles. Le groupe a ensuite ajouté Casio à son portail d'extorsion sur le dark web, divulguant des données volées, notamment des documents confidentiels, des informations sur les employés, des contrats de non-divulgation, des données financières et des rapports d'incidents. Si ces informations sont vérifiées, l'attaque pourrait compromettre la main-d'œuvre et la propriété intellectuelle de Casio, nuisant à ses activités. Selon un rapport de Fortinet, Underground est une opération de ransomware de petite envergure, active depuis juillet 2023, et liée à un groupe de cybercriminalité russe. Les tactiques d'extorsion du groupe incluent la fuite de données sur Mega, augmentant leur visibilité. Actuellement, 17 victimes sont répertoriées sur leur portail, principalement basées aux États-Unis. L'impact de l'attaque contre Casio sur la stratégie du groupe reste à déterminer.
Sources :
Un bug de Microsoft Outlook bloque les connexions par e-mail et provoque le blocage des applications
Microsoft enquête sur un bug d'Outlook qui provoque des plantages de l'application de bureau, une utilisation élevée des ressources système et empêche les utilisateurs de se connecter à leurs comptes. Bien que l'entreprise ait indiqué que ces problèmes touchent principalement les clients européens, des utilisateurs du monde entier signalent également des difficultés similaires. Microsoft a déclaré qu'elle analysait les données des clients affectés et reproduisait le problème en interne pour élaborer un plan d'atténuation. Des rapports indiquent que les problèmes touchent également Outlook sur le web, avec des blocages et des difficultés de chargement pour certains utilisateurs, notamment aux États-Unis. Les clients concernés reçoivent des alertes les incitant à redémarrer leur système en raison d'une consommation mémoire élevée. Dans un rapport d'incident, Microsoft a mentionné que ces problèmes pourraient également bloquer l'accès à d'autres services Microsoft 365. Après plusieurs heures d'interruption, Microsoft a appliqué un changement de configuration et a confirmé que les problèmes d'Outlook étaient résolus. Les utilisateurs sont invités à rafraîchir ou redémarrer leurs sessions Outlook si des impacts persistent.
